Die Bundesrechtsanwaltskammer hat groĂe Probleme mit dem elektronischen Anwaltspostfach. Die zum System gehörende „Client Security“ des Angebotes lĂ€sst extrem zu wĂŒnschen ĂŒbrig und ist ein groĂes Risiko fĂŒr Kanzleien. Die beim Anwalt installierte Software kann von unerwĂŒnschten Eindringlingen missbraucht werden, um Dokumente des Anwalts auszuspĂ€hen. Aktuell bestehen SicherheitslĂŒcken, die den Einsatz des Systems, bzw. den pĂŒnktlich und geplanten Systemstart ausschlieĂen. Die SicherheitslĂŒcken von beA sind so offensichtlich, dass AnwĂ€lten und Kanzleien dringend empfohlen wurde, die Client Security der beA-Software zu deaktivieren.
Hier einen Rechtsanwalt zu diesem Thema finden
Verbraucherschutz.tv kooperiert deutschlandweit mit vielen kompetenten RechtsanwÀlten auch aus Ihrer Region. Sie sind Anwalt und möchten hier veröffentlichen? Bitte Mail an usch@talking-text.de
Der Zeitplan kommt dabei extrem durcheinander â eigentlich ist das ganze System in Frage gestellt: Das besondere elektronische Anwaltspostfach sollte ab dem 1. Januar 2018 die Arbeit aufnehmen und damit die Kommunikation zwischen AnwĂ€lten und Gerichten komplett digitalisieren. Auftauchende Problem-Analysen offenbarten erhebliche MĂ€ngel in Bezug auf die Vertraulichkeit und Sicherheit der Anwalts-Post. Die Notbremse wurde gezogen.
Hersteller bezeichnet Probleme als erledigt
Die Bundesrechtsanwaltskammer hatte die technische Projektleitung in die HĂ€nde des Dienstleisters âAtosâ gelegt. Dieser teilte als Betreiber der beA-Plattform mit, dass die Sicherheitsprobleme durch neue Zertifikate beseitigt worden seien. Zuvor war die Plattform am 22. Dezember 2018 auĂer Betrieb gegangen. Dabei hatte man aber unterlassen, die Client Security als lokale Webserver abschalten zu lassen und hatte so mögliche Einfalltore fĂŒr unbefugte Nutzung geschaffen. Ob Angriffe stattgefunden haben kann an dieser Stelle nicht behauptet werden, nur, dass solche Angriffe möglich gewesen wĂ€ren.
beAthon fĂŒhrt Experten zusammen
Nach einem Treffen mit Computer-Experten und Spezialisten fĂŒr IT Sicherheit, u.a. des Chaos Computer Clubs â dem so genannten beAthon – versendete die BRAK einen Newsletter an alle Beteiligten und veröffentlichte eine Pressemitteilung. Ein Auszug: „Die gegenwĂ€rtig bei den AnwĂ€ltinnen und AnwĂ€lten installierte Client Security kann eine LĂŒcke fĂŒr einen externen Angriff darstellen. Aus diesem Grund empfiehlt die BRAK allen AnwĂ€ltinnen und AnwĂ€lten, ihre bisherige Client Security zu deaktivieren.“ Die BRAK empfiehlt, sicherheitshalber âallesâ zu entfernen bzw. zu deinstallieren. Angeblich hatte die Kammer die Softwareentwickler bereits im vergangenen Jahr auf die SicherheitslĂŒcken hingewiesen, z.B. auf veraltete Java-Bibliotheken. Mitglieder des CCC wiesen aber nach, dass auf diese Aufforderung nicht im notwendigen MaĂe reagiert worden war.
Das Konzept beA
Die AbkĂŒrzung beA seht fĂŒr besonderes elektronisches Anwaltspostfach und die geplante MarkteinfĂŒhrung ist durch die Forderung des Gesetzgebers motiviert, in Zukunft die Kommunikation zwischen AnwĂ€lten und Gerichten zu digitalisieren und damit AblĂ€ufe zu beschleunigen und zu vereinfachen. Das geht natĂŒrlich nicht mit Outlook oder mit eigens von den Kanzleien angeschaffter und ins Gesamtsystem eingearbeiteter Systeme, sondern in den ersten Ausbaustufen nur ĂŒber einen Web-Browser, ĂŒber den die beA-Plattform wie eine ganz normale Homepage erreicht werden kann.
Probleme gibt es mit den Sicherheitsstandards, die durch auf Anwaltsseite installierte Zertifikate den sicheren Austausch von Dokumenten mit den Gerichten gewĂ€hrleisten sollten. Diese Zertifikate weisen einen legitimierten Teilnehmer als zugriffsberechtigt aus. Die vorhandenen SicherheitslĂŒcken bedeuten – vereinfacht -, dass es unter UmstĂ€nden auch nicht legitimierten Eindringlichen möglich gewesen wĂ€re, auf Daten zuzugreifen – sowohl auf Seite der Plattform als auch „client-seitig“.
Gerade dieser letzte Tatbestand bringt aktuell die kritische Analtschaft gegen beA auf, denn in vielen FĂ€llen blieben die lokalen System aktiv und ungeschĂŒtzt. So entstanden mögliche Einfalltore, die fĂŒr die IT-Sicherheit von Kanzleien existenzbedrohend sind. Entwickler Atos und die Bundesrechtsanwaltskammer schieben die schwarzen Peter hin und her.
Ărgerlich ist das vo allem fĂŒr Kanzleien, die ein bestehendes und sicheres System aufgrund der Auflagen der Kammer abgestellt haben und nun unter UmstĂ€nden groĂe Probleme mit der Abwicklung ihrer Gerichtskommunikation haben. Auch steht die Frage im Raum, wer fĂŒr die Kosten des betriebenen Aufwandes verantwortlich gemacht werden kann.